БЕЗОПАСНОСТЬ
- Алло!
- Справочная Киевского вокзала слушает.
- У вас заложена бомба.
Телефонные террористы стали нормой нашей жизни, и подобные звонки уже мало кого удивляют. “Шутники” пользуются тем, что абсолютное большинство людей опасаются терактов. Но при чем тут информационная безопасность? А при том, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод - “социальный инжиниринг”), и являются темой данной статьи.
Как это бывает?
Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:
- С вами говорит администратор сети Иван. Как вас зовут?
- Оля.
- Олечка, мы сейчас проводим плановую модификацию программного обеспечения “Операционный день банка”. Ты не могла бы назвать мне свой пароль?
- А мне говорили, что чужим нельзя называть свой пароль.
- Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу все дела закончить поскорее, не то и тебе, и мне, и твоему начальнику придется оставаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Назови свой пароль, и все будет ОК.
- Мой пароль olja.
- ОК. Спасибо за помощь.
Случай второй. Пользователи получают письмо из службы технической поддержки своего Интернет-провайдера со следующим текстом: “Уважаемый пользователь бесплатной службы электронной почты “ОПАТЕЛЕКОМ”! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися случаями краж паролей у наших пользователей мы просим срочно изменить ваш пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам, и ваш почтовый ящик будет в полной безопасности. Надеемся на ваше понимание и содействие.
С уважением, служба технической поддержки сервера mail.domain.ru”.
“Описанные случаи - это сказки для детей, - скажете вы. - На самом деле такого не бывает”. Скажете и будете не правы. Чтобы лишний раз убедиться в этом, - посмотрите пример из жизни, описанный на странице www.citforum.ru/ internet/securities/seccas1.shtml. Надо отметить, что технологии Интернета позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть “как настоящие”, со всеми атрибутами (адрес и имя отправителя, подпись и пр.).
Почему это возможно?
Каждый из нас имеет слабые места, воздействие на которые снижает способность критически оценивать свои поступки. Не стоит думать, что влиять на нас может только квалифицированный психолог. Воспользоваться нашими слабостями и есть задача хакера, желающего применить социальный инжиниринг в своей противоправной деятельности. Так называемых психокомплексов существует несколько десятков, но хакеры используют не так уж и много. Перечислю их:
- Страх. Это самый опасный и часто используемый психокомплекс человека. Существуют десятки и сотни разновидностей страха - страх потерять работу или быть пониженным в должности, утратить престиж или сделать что-то не так.
- Любопытство. Помните детскую игру? Вам давали свернутую полоску бумаги, на которой было написано “разверни”. Вы послушно разворачивали бумажку и видели фразу “а теперь заверни обратно”. Более взрослая, но безопасная шутка: послать другу ссылку http://sky.chph.ras.ru/~foxy/cl.html, нажав на которую, он вынужден будет еще долго нажимать на кнопку OK в открывающихся окнах. Закрыть браузер стандартными средствами становится невозможно. Приходится “убивать” процесс, что может сказаться на работоспособности других приложений. Более опасный пример использования любопытства в хакерских целях - создание обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру, и к Интернету, и к почтовому ящику, то, узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу http://chatcenter.virtualave.net/delwin, потому что это очень опасно. Особенно, если вы используете браузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу?
- Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. Найдя в Интернете его резюме, мы составили письмо с заманчивым предложением от имени потенциального работодателя. В этом письме было несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их. После получения доказательств были сделаны соответствующие оргвыводы.
- Превосходство. Можете ли вы с уверенностью сказать, что вам незнакомо это чувство? Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что вы столкнулись с вызывающим поведением “крутого” специалиста. Желая показать свое превосходство, вы начинаете опровергать его, указывать ему его место и т. д. В угаре словесного боя легко выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, “Судьба резидента”), он вполне применим и в обычной жизни.
- Великодушие и жалость. Эти два похожих переживания свойственны почти каждому человеку. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных - на него “ведутся” даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы вставляете дискету в свой компьютер и получаете набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.
- Доверчивость. Людям хочется надеяться на лучшее и верить, что их-то никто не обманет. Именно этот психокомплекс использовался при организации пирамид типа “МММ”. И он же с успехом может применяться в ИТ-области. Например, 25 августа 2000 г. служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив достоверность этой информации распространила ее среди своих подписчиков. Некоторые другие службы также разослали сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.
Как защититься?
Техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а человеческой души. Для противодействия злоумышленникам нужна постоянная и правильная работа с персоналом.
Необходимо организовать обучение корпоративных пользователей, включая партнеров и клиентов. Такое обучение может проводиться силами самой организации, приглашенными специалистами или в специализированных учебных центрах. Форма может быть разной - начиная от теоретических занятий и обычных практикумов и заканчивая online-семинарами, проводимыми через Интернет, и ролевыми играми. Во время обучения обычные пользователи, не занимающиеся информационной безопасностью на своей основной работе, должны изучить следующие темы (помимо правильного выбора паролей и общих положений политики безопасности организации):
- Как идентифицировать подозрительные действия и куда сообщать о них?
- Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - по статистике, основное число инцидентов, связанных с безопасностью, происходит именно изнутри организации.
- Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?
Эти же вопросы должны изучать и те, кто работает в Интернете из дома. Однако если для корпоративного пользователя доступны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить от $100 до $500 за курс, выгода от которого весьма эфемерна, - ведь атака может ждать вас в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и через Интернет, не уступающее, впрочем, по части информативности источников дорогостоящему обучению.
Прежде чем начинать процесс корпоративного обучения, следует оценить уровень знаний персонала, эксплуатирующего корпоративную инфраструктуру защиты информации. Если персонал не обладает необходимой подготовкой, то спросите кандидатов на обучение, каких знаний им не хватает. Часто это самый простой путь к достижению максимальных результатов с минимальными затратами. Особенно когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте программу обучения персонала методам обеспечения информационной безопасности. Основную часть такой программы сориентируйте на рядовых сотрудников, а дополнительную - на персонал, отвечающий за информационную безопасность. Обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и учитывать все аспекты функциональных обязанностей служащего.
Необходимо периодически проверять эффективность обучения и готовность работников к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите занятия по повышению квалификации своего персонала, сообщайте об изменениях в стратегии и процедурах безопасности, а также устраивайте “разбор полетов” после зафиксированных серьезных инцидентов. Не забывайте о регулярных тренингах, отрабатывающих ситуации, которые могут возникать в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный способ? Это позволит удостовериться, что сотрудники знают свои обязанности и смогут адекватно отреагировать на критические ситуации, связанные с информационной безопасностью.
С автором можно связаться по адресу: luka@infosec.ru.
